✨︎ Resumen (TL;DR):
- Microsoft eliminará el inicio de sesión por SMS para cuentas personales por considerarlo inseguro.
- El grupo Storm-2949 vulneró entornos corporativos de Azure mediante engaños telefónicos a directivos.
- Expertos y agencias recomiendan migrar a métodos sin contraseñas como passkeys o apps autenticadoras.
Microsoft eliminará los códigos de inicio de sesión por SMS para cuentas personales. La decisión coincide con la revelación de un ataque cibernético del grupo Storm-2949, el cual vulneró cuentas corporativas en Microsoft 365 y Azure engañando a directivos para que aprobaran accesos de seguridad.
La división Microsoft Threat Intelligence publicó el 18 de mayo los detalles de una campaña donde los atacantes abusaron del proceso de restablecimiento de contraseña de autoservicio (SSPR). Los criminales llamaron por teléfono a personal clave y directivos simulando ser soporte técnico de la empresa.
“Los atacantes contactaron a las víctimas, incluyendo personal de TI y líderes sénior, haciéndose pasar por representantes de soporte de TI interno, indicándoles que aprobaran solicitudes de autenticación multifactor como parte de lo que parecía ser un restablecimiento de contraseña de rutina”, detalló el equipo de ciberseguridad.
Una vez que el usuario cedía, los hackers tomaban el control absoluto: restablecían la contraseña, borraban los teléfonos de recuperación y daban de alta sus propios celulares en el sistema de seguridad.
El peligro del hackeo sin software malicioso
La campaña de Storm-2949 destaca porque no utilizó malware convencional. El grupo se movió de forma lateral en la nube usando herramientas legítimas de administración de Azure, como consultas de Graph API, permisos de control de acceso (RBAC) y el acceso a Key Vault para robar información de bases de datos SQL y almacenamiento en la nube.
MFA (Autenticación Multifactor) es un sistema de seguridad que requiere múltiples formas de verificación para comprobar la identidad de un usuario. Aunque es vital, la ingeniería social demostró ser su punto débil en este ataque.
A la par de esta revelación, Microsoft anunció que las cuentas personales ya no recibirán códigos por SMS, sustituyéndolos por passkeys, correos de verificación y aplicaciones como Microsoft Authenticator.
El fin de los mensajes de texto como contraseña
La empresa argumentó que “la autenticación basada en SMS es ahora una fuente principal de fraude” y afirmó que “el futuro de la autenticación es sin contraseñas, seguro y fácil de usar”.
Agencias como el FBI y la CISA llevan años advirtiendo que los SMS son inseguros debido a técnicas como el intercambio de SIM (SIM swapping) y la interceptación de mensajes. Para protegerse, Microsoft sugiere implementar esquemas de autenticación resistentes al phishing, limitar los permisos en Azure y conservar los registros de accesos hasta por un año.
